검색 결과를 바탕으로 더 나은 보안을 위해 토큰 서버와 함께 OpenAI API 키를 사용하는 것에 대한 주요 사항은 다음과 같습니다.
OpenAI API 키와 관련된 주요 보안 문제는 키가 노출되면 누구나 이를 사용하여 OpenAI 계정에 액세스할 수 있고 요금이 부과될 수 있다는 것입니다. 이러한 위험을 완화하기 위해 검색 결과에서는 다음과 같은 몇 가지 접근 방식을 권장합니다.
1. AWS Secrets Manager, HashiCorp Vault 또는 CyberArk Conjur와 같은 환경 변수 또는 비밀 관리 서비스를 사용하여 API 키를 클라이언트 측 코드에 포함하는 대신 서버 측에 안전하게 저장합니다.[1][3]
2. OpenAI에 대한 API 호출을 처리하는 미들웨어 API를 자체 서버에 구현하여 API 키가 클라이언트에 노출되지 않도록 합니다.[3]
3. 프록시 역할을 할 수 있는 Zuplo와 같은 게이트웨이 서비스를 사용하여 API 키를 안전하게 저장하고 OpenAI에 요청을 전달하기 전에 필요한 인증 헤더를 추가합니다.[4]
4. API 키의 권한을 무제한 키를 사용하는 대신 필요한 엔드포인트로만 제한합니다.[2]
5. 정기적으로 API 키를 교체하고 이전 키를 사용하는 모든 서비스를 업데이트합니다.[3]
따라서 요약하면 권장되는 접근 방식은 토큰 서버 또는 미들웨어 API를 사용하여 OpenAI API 키를 클라이언트 애플리케이션에 직접 노출하는 대신 안전하게 관리하는 것입니다. 이는 API에 액세스할 수 있는 사람에 대한 추가 보안 계층과 제어를 제공합니다.[1][3][4]
인용:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185